Что-то переименовывает файлы php в .php.suspected; Я пытаюсь выяснить,

Haga clic con el botón derecho -en el signo de WiFi y habilite Sondeo de WiFi. Su problema se solucionará.

2
23.05.2017, 15:40
2 ответа

Используйте механизм аудита изменений файлов, например как LoggedFS или подсистема аудита Linux . См. Также Как определить, какой процесс создает файл? , Регистрировать каждый вызов каждой программы SUID? , Stump the Chump with Auditd 01 ...

Если предположить, что сервер работает под управлением Linux, система аудита выглядит лучшим решением. Регистрируйте все операции переименования файлов в соответствующем дереве каталогов, например / var / www :

auditctl -a exit,always -S rename -F dir=/var/www

Журналы аудита обычно находятся в /var/log/audit/audit.log . Вот пример протокола с cd / var / www; mv foo bar с правилом выше:

type=SYSCALL msg=audit(1489528471.598:669): arch=c000003e syscall=82 success=yes exit=0 a0=7ffd38079c14 a1=7ffd38079c18 a2=20 a3=7ffd38077940 items=4 ppid=5661 pid=5690 auid=1001 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts11 ses=1 comm="mv" exe="/bin/mv" key=(null)
type=CWD msg=audit(1489528471.598:669):  cwd="/var/www"
type=PATH msg=audit(1489528471.598:669): item=0 name="/var/www" inode=22151424 dev=fc:01 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT
type=PATH msg=audit(1489528471.598:669): item=1 name="/var/www" inode=22151424 dev=fc:01 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT
type=PATH msg=audit(1489528471.598:669): item=2 name="foo" inode=22152394 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=DELETE
type=PATH msg=audit(1489528471.598:669): item=3 name="bar" inode=22152394 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=CREATE
3
27.01.2020, 22:03

Я знаю, что вопрос был задан некоторое время назад, но переименование файлов .phpв .php.suspectedпродолжается и сегодня. Следующие команды ничего не должны придумывать:

find <web site root> -name '*.suspected' -print
find <web site root> -name '.*.ico' -print

В случае, который я видел, зараженные файлы можно было найти с помощью следующих команд:

cd <web site root>
egrep -Rl '\$GLOBALS.*\\x'
egrep -Rl -Ezo '/\*(\w+)\*/\s*@include\s*[^;]+;\s*/\*'
egrep -Rl -E '^.+(\$_COOKIE|\$_POST).+eval.+$'

Я подготовил более подробное описание проблемы, с которой столкнулся, и способов ее решения на GitHub . Я подозреваю, что многие варианты этой вредоносной программы появлялись в прошлом. То, как они заражают веб-сайт, зависит от используемой CMS и уязвимостей, доступных на момент атаки. В данном случае это, скорее всего, был Drupalgeddon2 .

1
27.01.2020, 22:03

Теги

Похожие вопросы